Net-NTLMv1 Protokolünü Devre Dışı Bırakmak İçin Gökkuşağı Tabloları Yayınlandı

Mandiant, eski ve güvensiz Net-NTLMv1 protokolünden uzaklaşma aciliyetini vurgulamak amacıyla kapsamlı bir Net-NTLMv1 gökkuşağı tabloları veri setini kamuoyuyla paylaştı. Yaklaşık yirmi yıldır güvensiz olduğu bilinen ve 1999'dan beri kriptanalizleri yapılan bu protokole rağmen, Mandiant danışmanları aktif ortamlarda hala kullanıldığını tespit ediyor. Bu eski protokol, kuruluşları kolay kimlik bilgisi hırsızlığına karşı savunmasız bırakıyor ve atalet ile acil riskin yeterince gösterilememesi nedeniyle yaygınlığını koruyor.

Bu tabloların yayınlanmasıyla Mandiant, güvenlik profesyonellerinin Net-NTLMv1'in güvensizliğini gösterme engelini düşürmeyi hedefliyor. Bu protokolü istismar eden araçlar yıllardır mevcut olsa da, genellikle hassas verilerin üçüncü taraf hizmetlere yüklenmesini veya anahtarları kırmak için pahalı donanım gerektiriyordu. Bu veri setinin yayınlanması, savunmacıların ve araştırmacıların 600 USD'den daha az maliyetli tüketici donanımı kullanarak 12 saatten kısa sürede anahtarları kurtarmasına olanak tanıyor. Bu girişim, Mandiant'ın ön saflardaki uzmanlığı ile Google Cloud'ın kaynaklarını birleştirerek tüm saldırı sınıflarını ortadan kaldırmanın etkisini artırıyor.

Net-NTLMv1'in güvensizliği, 2012'deki DEFCON 20 sunumlarından bu yana yaygın olarak biliniyor. Eğer bir saldırgan, bilinen düz metin için Genişletilmiş Oturum Güvenliği (ESS) olmayan bir Net-NTLMv1 hash'i elde edebilirse, bilinen düz metin saldırısı (KPA) uygulanabilir. Bu, kullanılan anahtar materyalinin, yani kimlik doğrulayan Active Directory (AD) nesnesinin parola hash'inin kurtarılmasını garanti eder. Saldırı sonuçları, nesneyi hızla tehlikeye atmak ve genellikle ayrıcalık yükseltmeye yol açmak için kullanılabilir. Mandiant, bu veri setini topluluğun kullanımına sunarak, kuruluşları Net-NTLMv1'i devre dışı bırakmaya ve kimlik doğrulama zorlama saldırılarını önlemeye teşvik ediyor.